ISO 27001信息安全管理體系(ISMS)對信息安全及隱私保護(hù)提出了非常具體的要求和標(biāo)準(zhǔn),不僅涵蓋隱私保護(hù)���、數(shù)據(jù)處理以及信息管理等技術(shù)層面的要求���,還涉及法律法規(guī)、人員管理�、資產(chǎn)管理、物理和環(huán)境安全�、操作安全、通信安全等諸多方面�,切實(shí)覆蓋了組織關(guān)于信息安全的各個(gè)領(lǐng)域���。
ISO 27001 認(rèn)證有利于您: 保護(hù)信息資產(chǎn);持續(xù)改進(jìn)提升效率���;保護(hù)隱私敏感信息���;降低風(fēng)險(xiǎn)和成本;增強(qiáng)客戶信賴���;
ISO 27001是目前國際上最嚴(yán)謹(jǐn)���、權(quán)威,也是最被廣泛接受和應(yīng)用的信息安全領(lǐng)域的體系認(rèn)證標(biāo)準(zhǔn)�,它與信息技術(shù)服務(wù)管理體系合稱為信息雙認(rèn)證
涉及信息安全時(shí),不容有絲毫懈??��!保護(hù)個(gè)人記錄和商業(yè)敏感信息至關(guān)重要�!
認(rèn)證流程:
管理體系相關(guān)認(rèn)證的流程基本一致���,企業(yè)申請時(shí)不需要特別記錄����。流程一般包括:提交申請、簽訂合同和交預(yù)付款���;初審(第一階段審核/文件審查���,第二階段審核/現(xiàn)場審核);認(rèn)證決定�;結(jié)算費(fèi)用,注冊發(fā)證����;每年的監(jiān)督審核(次數(shù)略有不同);證書期滿后的再認(rèn)證等環(huán)節(jié)���。
申請條件:
ISO27001認(rèn)證的申請條件:
1���、中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》、《生產(chǎn)許可證》或等效文件�;外國企業(yè)持有關(guān)機(jī)構(gòu)的登記注冊證明。?
2�、申請方的信息安全管理體系已按ISO/IEC27001:2005標(biāo)準(zhǔn)的要求建立,并實(shí)施運(yùn)行3個(gè)月以上���。?
3�、至少完成一次內(nèi)部審核,并進(jìn)行了管理評審����。?
4、信息安全管理體系運(yùn)行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰����。
認(rèn)證范圍:
認(rèn)證用標(biāo)準(zhǔn):GB/T 22080
大類 | 中類 | 描述 | 備注 |
01政務(wù) | 01.01 | 國家機(jī)構(gòu) | 包括人大、政府���、法院�、檢察院 ���,不含稅務(wù)和海關(guān) |
01.02 | 稅務(wù)機(jī)關(guān) |
|
01.03 | 海關(guān) |
|
01.04 | 其他 | 包括政黨�、政協(xié)�、人民團(tuán)體等 |
02公共 | 02.01 | 通信、廣播電視 |
|
02.02 | 新聞出版 | 包括互聯(lián)網(wǎng)內(nèi)容的提供 |
02.03 | 科研 | 涉及特別重大項(xiàng)目的應(yīng)提升為一級 |
02.04 | 社會(huì)保障 | 例如社會(huì)保險(xiǎn)基金管理���、慈善團(tuán)體等。包括醫(yī)療保險(xiǎn) |
02.05 | 醫(yī)療服務(wù) |
|
02.06 | 教育 |
|
02.07 | 其他 | 包括市政公用事業(yè)(水的生產(chǎn)和供應(yīng)���、污水處理����、燃?xì)馍a(chǎn)和供應(yīng)、熱力生產(chǎn)和供應(yīng)���、城市水陸交通設(shè)施的維護(hù)管理等) |
03商務(wù) | 03.01 | 金融 | 包括:銀行���、證券、期貨���、保險(xiǎn)���、資產(chǎn)管理等 |
03.02 | 電子商務(wù) | 以在線交易為主要特點(diǎn),含網(wǎng)絡(luò)游戲 |
03.03 | 物流 | 包括郵政 |
03.04 | 咨詢中介 | 包括法律���、會(huì)計(jì)���、審計(jì)、公證等 |
03.05 | 旅游�、賓館、飯店 |
|
03.06 | 其他 | 包括金融服務(wù)、銷售����、廣告、公關(guān)等����。 |
04產(chǎn)品的生產(chǎn) | 04.01 | 電力 | 包括發(fā)電和輸、變���、配電等 |
04.02 | 鐵路 |
|
04.03 | 民航 |
|
04.04 | 化工 |
|
04.05 | 航空航天 |
|
04.06 | 水利 |
|
04.07 | 交通運(yùn)輸 | 包括公路���、水路、城市公共客運(yùn)交通等���,不含航空和鐵路 |
04.08 | 信息與通信技術(shù) | 包括軟�、硬件生產(chǎn)及其服務(wù)���,系統(tǒng)集成及其服務(wù)����,數(shù)字版權(quán)保護(hù)等 |
04.09 | 冶金 |
|
04.10 | 采礦 | 含石油���、天然氣開采 |
04.11 | 食品���、藥品、煙草 |
|
04.12 | 農(nóng)����、林、牧���、副�、漁業(yè) |
|
04.13 | 其他 |
|
注:分類依據(jù)《CNAS-SC170》
資料清單:
認(rèn)證組織需要提交的基本資料有:
(1) 申請認(rèn)證的組織名稱����、注冊地址、經(jīng)營地址���、通訊地址及郵編���、聯(lián)系人、職務(wù)���、聯(lián)系方式����;
(2) 認(rèn)證類型;
(3) 認(rèn)證依據(jù)����;
(4) 體系覆蓋的人數(shù);
(5) 根據(jù)業(yè)務(wù)���、組織���、位置、資產(chǎn)和技術(shù)等方面的特性所確定的ISMS的范圍和邊界����,包括對任何范圍、刪減的詳細(xì)說明和正當(dāng)性理由����;
(6) 經(jīng)營場所、分場所����、臨時(shí)場所以及各場所從事的活動(dòng)等;
(7) 服務(wù)器數(shù)量�、終端數(shù)量���、用戶的數(shù)量;
(8) 適用性聲明����、資產(chǎn)列表���;
(9) 保密協(xié)議���、信息安全敏感區(qū)域的聲明;
(10) 提供咨詢服務(wù)機(jī)構(gòu)和人員信息�;
(11) 關(guān)于認(rèn)證活動(dòng)的限制條件(如出于安全和/或保密等原因,存在時(shí))�。
除此以外,申請信息安全管理體系認(rèn)證的企業(yè)還需提交一些輔助資料����,如支持信息安全管理體系的規(guī)程和控制措施;風(fēng)險(xiǎn)評估報(bào)告(含風(fēng)險(xiǎn)評估方法的描述)等�。
認(rèn)證報(bào)價(jià):
可能產(chǎn)生的費(fèi)用,包括初次認(rèn)證費(fèi)用(申請費(fèi)���、審核費(fèi)����、注冊費(fèi)等)、監(jiān)督審核費(fèi)用(審核費(fèi)���、年金等)����、再認(rèn)證費(fèi)用(申請費(fèi)����、審核費(fèi)、注冊費(fèi)等)����。
費(fèi)用多少要看評審工作的復(fù)雜程度等因素進(jìn)行核算。如:初評���、監(jiān)督�、復(fù)評與擴(kuò)大認(rèn)可領(lǐng)域�、擴(kuò)大業(yè)務(wù)領(lǐng)域、擴(kuò)大業(yè)務(wù)范圍和增加關(guān)鍵場所的文件審查����、現(xiàn)場評審����、見證評審����、不符合驗(yàn)證等評審活動(dòng)所發(fā)生的費(fèi)用等。
證書樣本:
